Movemenoreg vbs как удалить вирус

KINGSLON

Заработок, финансы, создание и продвижение сайтов

Вирус создал ярлык флешки на флешке

Имел неосторожность воткнуть свою флешку в компьютер коллективного пользования, и тут же получил подарок в виде вируса. И это несмотря на установленный на нем антивирус Касперского. При попытке зайти на флешку, в корневом каталоге обнаружил ярлык флешки. Все остальные файлы и папки исчезли.

Вначале я не на шутку распереживался, поскольку на флешке были важные данные, а бэкап я делал уже довольно давно. Но все таки — это была не физическая смерть данных. Флешка оставалась заполненной, прекрасно открывалась и я понял что смогу решить проблему.

По запросу «ярлык флешки на флешке» поисковики вывели довольно много вопросов пользователей на различных сервисах и форумах. Вероятно вирус начал активно распространяться недавно и проблема актуальна не только для меня.

Как исправить ситуацию

Решения проблемы необходимо разделить на два пункта. Первое — это возвращение вместо ярлыка, на флешку, всех файлов и папок целыми и невредимыми. И второе — это удаление вируса и предотвращение его дальнейшего распространения.

Вернуть файлы на флешку

Как исправить ситуацию и вернуть все файлы и папки на флешку? На самом деле все очень просто. Необходимо вставить флешку в компьютер, вызвать командную строку, прописать следующие команды:

cd /d X: (вместо Х вы вводите букву каталога вашей флешки)

attrib -s -h -a -r /s /d *.* (прописываете точно как указано)

Если файлов на флешке действительно много, может показаться что ничего не происходит или командная строка подвисла. Не переживайте, спустя некоторое время в корневом каталоге флешки появятся новые файлы и папки. В папке без названия «-» будут лежать все исчезнувшие файлы и папки.

Вам останется лишь удалить лишние файлы, и вырезать из папки «-» ваши файлы и вставить их назад в корневой каталог. Только пока не удаляйте autofun.inf (читайте об этом в самом конце).

Для автоматизации процесса я сделал небольшой батник (файл .bat) который можно просто скопировать на флешку и запустить. Он выполняет указанную выше команду, просто её не будет нужно прописывать в командной строке.

Ну и может быть он пригодится тем, у кого заражена целая сеть и много людей обращаются с проблемой ярлыка флешки на флешке. Иногда легче дать людям батник и показать как он работает, чем по 20 раз возвращать флешку к жизни самому.

Удалить вирус

Осталось дело за малым, удалить вирус с компьютера, чтобы остановить дальнейшее распространение.

Для этого скачиваем программу Process Explorer от Майкрософт с официального сайта.

Process Explorer v16.20

Далее её разумется запускаем и выбираем в выпадающем меню File / Show Details for All Processes для того чтобы отобразить все запущенные на компьютере процессы.

Жмем Ctrl + L и в окне в нижней части программы ищем процесс autorun.inf Вероятнее всего он будет находиться в ветке svchost.exe .

Жмем правой кнопкой мыши и выбираем Close handle (закрываем процесс). После чего удаляме с флешки файл autofun.inf .

Во временной папке Temp ( C:users%username%AppDataLocalTemp ) ищем файл с необычным расширением .pif и удаляем его (можно воспользоваться поиском).

Всё, теперь вы точно удалили вирус и с флешки и с компьютера.

Winset

Вынесу из комментариев алгоритм действий в случае, если на флешке находится скрытая папка Winset.

Вместо autorun.inf может присутствовать ещё одна скрытая папка «Winset» с тремя скриптами .vbr (кроме папки «_», в которой лежат все файлы с флэшки). Тогда в Process Explorer нужно завершить ветку процессов wscript.exe и удалить из C:Users<Имя пользователя>AppDataRoaming скрытую папку «Winset» в которой на компьютере лежат копии тех .vbr скриптов, которые прописываются на флэшку. С флэшки папку «Winset» тоже удалить.

Навигация по записям

71 комментарий

У меня нет на флешке файла autofun.inf. И при поиске в программе Process Explorer у меня нет файла autorun. Но все флешки заражаются от моего ноутбука. Помогите, пожалуйста.

Переустановка системы однозначно решит проблему с вирусом, проникшим в систему. Но сам файл, из которого вирус проник в систему может быть скрыт в любом файле на любом диске вашего компьютера. После переустановки системы удалите все подозрительные приложения, игры и файлы со своего компьютера.

Читать еще: Карантин в антивирусе что это

У меня тоже самое. Что делать?

Спасибо за помощь. Удалось вернуть файлы в нормальное видимое состояние.

Благодарю за отзыв, рад что смог помочь

Столкнулся с такой проблемой — флешка заразила два ноутбука и ещё три флешки. Помог антивирус Касперского ( другие ничего не показывали Dr WEB и Avast и USB guard) Касперский определил путь — C:UsersДмитрийAppDataRoamingWinset Но сначала надо на панели управления — свойства папки — вид-поставить точку — показывать скрытые папки и файлы, тем самым увидеть папку AppData. В папке Winset три файла — они постоянно прописываются на флешке при открытии. В итоге я удалил папку Winset, перезагрузил компьютер — и отформатировал флешку при подключении и всё.

Когда я словил вирус, Касперский его еще не обнаруживал.

Подскажите, пожалуйста, если Process Explorer не обнаруживает процесс autofun.inf, то это значит, что его действительно не существует, компьютер чист и вирус я подхватила с другого компьютера? Папка Temp тоже отсутствует.

Да, вероятнее всего так и есть. Вспоминайте куда флешку втыкали, вот тот то комп и надо чистить.

Movemenoreg vbs как удалить вирус

На флешке все папки стали ярлыками -решено!
Данный пост будет как бы приквелом (если говорить киношными терминами) посту «Скрытые папки на флешкe» ибо и в том и в том виноват один вирус. Итак, воткнув в один прекрасный момент флешку в компьютер, вы замечаете некоторые изменения — все папки на флешке стали ярлыками и обзавелись характерным знаком отличия — стрелочкой. Вроде бы можно подумать, что и ничего страшного, ведь если нажать на ярлык вы переместитесь в нужную папку и продолжите работу как ни в чем не бывало, работает и ладно. Но именно это и нужно было создателям вируса — нажимая на ярлык, вас перемешают не только в вашу папку, но и заставляют выполнить заражение компьютера, на котором вы зашли в папку. Можно очень долго ходить с зараженой флешкой и инфицировать компьютеры, а ведь нам этого совсем не хочется.
Backdoor.win32.ruskill и ярлыки на флешке

Ответственность за создание ярлыков на флешке и превращение папок в скрытые взял на себя вирус-террорист Backdoor.win32.ruskill, которыми данными действиями предоставляет злоумышленнику удаленный доступ к зараженному компьютеру. Функционал у вируса впечатляет — от кражи конфиденциальной информации до DDoS атак, но расписывать все в данной теме не буду, ибо это целый отдельный пост. Вернемся к нашим баранам ярлыкам.

Итак, как уже выяснили Backdoor.win32.ruskill делает все папки скрытыми, создает на них ярлыки с запуском заражения. Найти вирус на флешке проще простого — нужно посмотреть свойства ярлыка и путь куда он ссылается. Вызвав свойства вы уведите такую строку:

%windir%system32cmd.exe /c «start %cd%RECYCLERe5e88а22.exe &&%windir%explorer.exe %cd%Имя папки

Из этого пути сразу видно, что вирус лежит в скрытой папке RECYCLER (как включить отображение скрытых папок читаем здесь http://zone-pc.ru/index.php/praktikum/show-hidden-fil..). По большому счет — можно и гадалке не ходить, а сразу вычищать данную папку — ещё не встречал случаев, чтобы он был в другом месте. После удаления вируса, вы уже не сможете попадать в папку через ярлык, работать он не будет. Можно смело удалять все ярлыки.

После удаления ярлыков вы столкнетесь с проблемой — папки остануться скрытыми и изменить их вам просто так не удастся.
Здесь два варианта:

1. В ручную, через Total Commander изменить атрибуты папок. Об этом я писал в статье Скрытые папки на флешкe — вирус постарался [Решено]

2. Либо создать bat-файл с содержимым:

attrib -s -h -r -a /s /d

После чего его запустить.

Данные действия помогут вам избавится от вируса на флешке и вернуть нормально отображение папок. Останется разобраться с самим главным виновником, ибо антивирусы его зачастую игнорируют. Сам Backdoor.win32.ruskill прописывается по этим адресам:

C:Documents and SettingsимяLocal SettingsApplication Dataвирус.exe

Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.

Физически вирус мы устранили, но он все же оставил свой след и в реестре. Заходим в редактор реестра (Выполнить — Regedit) и удаляем его из ветки:

Выполнив все это мы окончательно убьем заразу на своем компьютере.
Вроде все. Вроде ничего не забыл написать о вирусе Backdoor.win32.ruskill и появлении ярылков на флешке вместо папок. Остались вопросы? Вы всегда их можете задать в комментариях.

Читать еще: Чем опасен вирус троян

мой коментарий1 на сайте: хакер2013:
Ваш комментарий ожидает проверки.
27 марта 2013 в 21:19

Вирус создает на флешке ярлык на скрытую папку на флешке

3 месяца). Сегодня, когда активировал пробную версию антивируса и обновив его, провел проверку ноутбука и флешки на наличие вирусов. Антивирус удалил с флешки следующие файлы «helper.vbs», «installer.vbs», «movemenoreg.vbs». С ноута антивирус тоже вроде эти файлы удалил, я закрыл лог сканирования ноута в антивирусе, поэтому точно не помню. После удаления антивирусом этих файлов, ярлык в корне флешки не открывает скрытую папку. Пробовал скопировать файлы с флешки и отформатировать флешку. После форматирования ярлык не создается, но если вытащить и вставить флешку обратно, то ярлык создается, но не открывает скрытую папку с файлами.

Вирус создает на флешке ярлык на скрытую папку на флешке
Доброго времени суток. Словил вирус на флэшку,который создает скрытую папку на флешке с названием.

Вирус, который создает на флешке скрытую папку под названием 5f5f5
Появился у меня вирус, который создает на флешке скрытую папку под названием 5f5f5. Кто знает, что.

Вирус создаёт ярлык на флешке на невидимую системную папку где находятся все файлы
Я пытался сам от него избавиться. удалял все системные файлы в флешке, надеясь что один из них.

Вирус создает ярлык на флешке
После подключения флешек к моему компьютеру, в корне флешки создается ярлык на скрытую папку, в.

Решение

Внимание! Рекомендации написаны специально для пользователя Михаил О. Если рекомендации написаны не для вас, не используйте их — это может повредить вашей системе.
Если у вас похожая проблема — создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Решение

Отключите до перезагрузки антивирус.
Выделите следующий код:

Решение

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Флешка создала ярлык самой себя? Это вирус!

Вирусы не дремлят, разработчики их придумывают все новые и новые способы не только заражения флешек, и просто компьютеров, но и новые методы распространения. Сегодня мы поговорим о ситуации, когда на флешке создаются папки с именем самой флешки — вы должны это понимать что это вирус.

Так вот, вирус создает ярлык на флешке, который якобы ведет в rundll32.exe (хотя такой папки нет). Если нажать два раза по ярлыку, то там будут файлы из самой флешки. В общем сначала может показаться что это не проблема, сейчас файлы оттуда заберем и удалим ярлык, но не все так просто.

Самое интересное, что файлы не исчезают и с флешкой как бы можно работать дальше, но вот только есть одно но — при подключении флешки к компьютеру, скрипт записывает себя на компьютер для того, чтобы заражать другие флешки, которые будут когда либо подключены к тому компьютеру.

Вирус уникален также тем, что распространяется только при помощи флешок.

Так вот, теперь перейдем к самому главному — как исправить эту ситуацию.

Лечение от вируса на флешки, который создает ярлык

Подключаем такую флешку к компьютеру и запускаем командную строку, для этого нажимаем Win + R. Появится черное окошко, то есть консоль. В нее пишем следующее:

cd /d F: (у меня к примеру флешка это буква F, у вас может быть другая, так что будьте внимательны);
attrib -s -h -a -r /s /d *.* (*.* — это маска, означает что «лечить» будем все файлы на флешке);

После этого мы можем открыть флешку и увидеть что все файлы на месте.

После этого необходимо удалить все файлы, и оставить только autorun.inf.

Теперь нам нужно открыть программу Process Explorer, если ее у вас нет, то загрузите ее здесь.

Открываем Process Explorer, переходим в меню File (вверху) и выбираем там Show Details for All Processes чтобы были видны все процессы.

Читать еще: В научную типологию социальных коммуникаций не входят

Зажимаем комбинацию Ctrl+L, после этого появится окошко в нижней части программы, где будут все процессы. Теперь необходимо найти файл autorun.inf, как правило он находится в ветке svchost.exe.

Теперь нажимаем правой кнопкой по найденному процессу и выбираем закрыть хендл (Close handle) — обычно это проходит без проблем. И уже после этого мы удаляем файл autofun.inf из флешки.

После этого нам нужно попасть во временную папку Temp, пусть который такой: C:users%username%AppDataLocalTemp (можете скопировать и вставить в адресную строку проводника). В этой папке необходимо найти необычный файл, у которого расширение .pif, мы можем как вручную его искать, так и воспользоваться поиском, но лучше все удалить из этой папки, хуже от этого не будет компьютеру, а вот лучше — скорее всего да.

Если вы все сделали правильно, то больше этого вируса у вас не будет ни на компьютере, ни на флешке.

Лучше после всех действий проверить компьютер на вирусы, если у вас нет установленного, то я рекомендую использовать ESET Online Scanner.

Рубрика: Полезно знать / Метки: флешка / 20 Август 2014 / Подробнее

Movemenoreg vbs как удалить вирус

%windir%system32cmd.exe /c «start %cd%RECYCLERe5e88а22.exe &&%windir%explorer.exe %cd%Имя папки

2. Либо создать bat-файл с содержимым:

attrib -s -h -r -a /s /d

После чего его запустить.

C:Documents and SettingsимяLocal SettingsApplication Dataвирус.exe

Вирусный exe файл будет иметь имя из 6 случайных латинских букв и цифр.

мой коментарий1 на сайте: хакер2013:
Ваш комментарий ожидает проверки.
27 марта 2013 в 21:19

голоса

Рейтинг статьи

Movemenoreg vbs как удалить вирус

KINGSLON

Заработок, финансы, создание и продвижение сайтов

Популярные публикации

Вирус создал ярлык флешки на флешке

Как исправить ситуацию

Вернуть файлы на флешку

Удалить вирус

Winset

Похожие публикации:

Навигация по записям

71 комментарий

Movemenoreg vbs как удалить вирус

Вирус создает на флешке ярлык на скрытую папку на флешке

Решение

Решение

Решение

Флешка создала ярлык самой себя? Это вирус!

Лечение от вируса на флешки, который создает ярлык

Movemenoreg vbs как удалить вирус